Teknoloji dediğimiz kavram bir dünya ise bu dünyanın korunmasına da önem vermek gerekir. Her geçen gün gelişen teknoloji güvenlik kavramını daha da öne çıkarmaktadır. Bunun sebebi hırsızlığın, korsanlığın da artık dijitali popüler olmuş durumdadır. Black hat hacker olarak adlandırılan siber korsanlar; kişilerin, şirketlerin, kurumların ya da devletlerin özeline erişerek tüm verileri ele geçirmekte ve bunları kullanarak paraya dönüştürmektedir. Tabi kaybedilen paradan ziyade kaybedilen otorite, itibar, prestij daha çok önem taşımaktadır.
Elbette her işte olduğu gibi siber güvenlik alanında da siyah taraf olduğu kadar bir de beyaz taraf bulunmaktadır. Beyaz şapkalı olarak bilinen bu uzmanlar bir nevi dijital kurtarıcılardır. Gelişen teknolojiye paralel olarak saldırganların yöntem ve teknikleri de çeşitlenmiş durumdadır. Bu da gelişen teknolojiyi an be an takip etmeyi, alanında uzman olan siber güvenlik uzmanlarından daima destek almayı gerektirmektedir. Kurumların, şirketlerin alabileceği en temel ve önemli hizmetlerden bir tanesi ise “Penetrasyon Testi.” dir.
Penetrasyon Testi: Web sitesi, sunucu, yazılım ya da var olan sistemlerin olası açık ve zafiyetlerini tespit etmek amacıyla, kötü niyetli hacker gibi düşünerek yapılan taktiksel, taklit saldırılardır. Penetrasyon testlerinde amaç; test edilen sistemin popüler olan ya da olmayan saldırılara karşı ne kadar dayanıklı olduğunu ölçmektir. Test sonrası oluşturulan rapora istinaden ise varsa sistem açıkları siber güvenlik uzmanları tarafından kapatılarak oluşabilecek zararların önüne geçilebilmektedir.
Penetrasyon Testi Çeşitleri: Penetrasyon test çeşitlerine baktığımızda karşımıza 3 kategori çıkmaktadır. Bunlar;
- White Box (Beyaz Kutu) Penetrasyon Testi: Bu kategoride yapılacak olan penetrasyon testinde siber güvenlik uzmanı test yapılacak sistem hakkında yeterince bilgilendirilir. Bu bilgilendirmeyi sistem hakkında bilgisi olan yetkili kişiler gerçekleştirir. Akabinde test konusu sistem hakkında siber güvenlik uzmanı penetrasyon testini gerçekleştirir ve raporlar.
- Black Box (Siyah Kutu) Penetrasyon Testi: Bu kategoride gerçekleştirilecek testte siber güvenlik uzmanına hiçbir bilgi verilmez. Sadece hedef gösterilir. Bu sayede tam bir black hat hacker gibi düşünerek hareket eden siber güvenlik uzmanı, sistemin açık ve zafiyetlerini tespit etmeye çalışır. Test sonrası bulguları raporlayarak yetkili kişiye raporu teslim eder.
- Gray Box (Gri Kutu) Penetrasyon Testi: Bu kategoride gerçekleştirilen test ise White box ve Black box testlerinin tam ortası olarak düşünülebilir. Siber güvenlik uzmanına net, açıklayıcı ve yeterli bilgiler verilmez.
Peki neden penetrasyon testi yaptırmalıyız? Artık günümüzde siber saldırıların herhangi bir sektörü kalmamıştır. Dolayısıyla tüm sektörlerden kurum ve firmalar saldırıya uğrayabilir. Bu saldırılara maruz kalmamak için alanında uzman siber güvenlik uzmanlarından ya da firmalardan destek alınması gerekmektedir. Uğranacak saldırı sonrası veri kayıplarının yaşanması, çalınan verilerin satılması, sistemlerin çalışmasının engellenmesi gibi sonuçlar kurum ve firmalara maddi anlamda ciddi zararlar verebileceği gibi uğradıkları prestij kaybı da sorun teşkil edecektir. Bu nedenle tedbirler önceden alınmalı, düzenli olarak penetrasyon testleri yaptırılmalıdır.
